Как открыть порты брандмауэра на экземпляре GCP Compute Engine – CloudSavvy IT

Если вы не можете получить доступ к службе, запущенной на вашем виртуальном частном сервере, скорее всего, это связано с тем, что брандмауэр перед ним блокирует нужные вам порты. Мы покажем вам, как работать с брандмауэром Google Cloud Platform и открывать порты на нем.

Как работают межсетевые экраны GCP?

По сравнению с другими облачными провайдерами, система межсетевого экрана GCP работает немного иначе. В обычном брандмауэре, таком как группы безопасности AWS, вы можете вручную редактировать и открывать порты для любого экземпляра, который использует эту группу безопасности. Если вы просто хотите открыть один порт, все, что вам нужно сделать, это отредактировать группу безопасности.

Для GCP брандмауэры управляются с помощью «правил брандмауэра», которые представляют собой наборы разрешенных / запрещенных портов с другими настройками, такими как фильтр исходных IP-адресов. Правило брандмауэра можно применить к каждому экземпляру в учетной записи, но вы должны установить «целевой тег», такой как «ftp» или «https-server», который можно добавить к любому экземпляру вычислительного механизма, чтобы открыть указанные порты.

В итоге вы получаете систему, в которой вы можете управлять правилами брандмауэра в зависимости от необходимости приложения, что значительно упрощает понимание того, почему порты открыты. Конечно, если вы хотите просто создать правило брандмауэра с уникальным тегом для вашего экземпляра и напрямую управлять портами, вы также можете это сделать.

Открытие портов с помощью правил брандмауэра

В консоли Compute Engine нажмите на экземпляре «Просмотреть сведения о сети».

Нажмите «Правила брандмауэра» на боковой панели.

Создайте новое правило брандмауэра.

Дайте ему имя и выберите, хотите ли вы разрешить или запретить трафик. По умолчанию трафик неявно запрещен.

Для целевых тегов дайте правилу имя для его идентификации. Для диапазона исходных IP-адресов нет опции «где угодно», поэтому вам нужно будет ввести вручную 0.0.0.0/0—CIDR-нотация для всех возможных IP-адресов.

В разделе «Протоколы и порты» вы можете открыть все (плохая идея) или выбрать протокол и номер порта. Вы можете ввести несколько номеров портов через запятую или указать другие протоколы, кроме tcp и udp.

Создайте правило и вернитесь в Compute Engine, чтобы применить его. Щелкните экземпляр, чтобы просмотреть подробности, и щелкните «Редактировать», чтобы изменить сетевые теги.

В разделе «Сетевые теги» добавьте тег только что добавленного правила.

После сохранения обновления брандмауэра должны отображаться автоматически.

Если ваше приложение по-прежнему недоступно на открытых вами портах, вы можете проверить или отключить любые брандмауэры на устройстве, например ufw, чтобы убедиться, что они не конфликтуют с GCP.